本件はeduGAIN参加機関向け、eduGAINのメタデータ署名検証用証明書更新に 伴うIdP/SP設定変更のお願いです。
eduGAINのメタデータの署名に用いている証明書が更新され、それに伴いメタ データダウンロードURLも更新されました。 従来のメタデータダウンロードURLでの提供は6月末までとのことですので、 eduGAIN参加のみなさまにおかれましては期日までに設定変更を行なっていた だけますようよろしくお願いいたします。
IdPの設定変更手順
新しい署名鍵で署名されたeduGAINメタデータおよび新しい検証用証明書が公開されておりますので、本手順に従い設定変更を実施してください。
技術ガイド 学認参加IdP・SPがeduGAINメタデータを読み込む手順 の手順に従って、eduGAINメタデータを読み込んでいる前提で説明します。
本ページに記載している署名検証用証明書URLおよびそのフィンガープリントは次のページで公開されているものです。
新しい検証用証明書を以下のURLからダウンロードして「/opt/shibboleth-idp/credentials/mds-v2.cer」に配置します。
証明書のフィンガープリント確認
ダウンロードした署名検証用証明書のフィンガープリントを確認し、以下と一致するか確認してください。
SHA256 Fingerprint=BD:21:40:48:9A:9B:D7:40:44:DD:68:05:34:F7:78:88:A9:C1:3B:0A:C1:7C:4F:3A:03:6E:0F:EC:6D:89:99:95
OpenSSLコマンドでは以下のように確認します。
> openssl x509 -in mds-v2.cer -fingerprint -sha256 -noout
/opt/shibboleth-idp/conf/metadata-providers.xml を以下のように編集します。
<MetadataProvider>のmetadataURLに指定するメタデータダウンロードURLを以下の通り、v1の部分をv2に修正します。
差分(unified diff形式)<MetadataProvider id="HTTPMetadata-eduGAIN" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/edugain-backing.xml" - metadataURL="http://edugain.cdn.samlbits.net/edugain-v1.xml"> + metadataURL="http://edugain.cdn.samlbits.net/edugain-v2.xml"> (...略...)<MetadataFilter>のcertificateFileに指定する署名検証用証明書のファイル名を以下の通り、v1の部分をv2に修正します。
差分(unified diff形式)<MetadataProvider id="HTTPMetadata-eduGAIN" (...略...) metadataURL="http://edugain.cdn.samlbits.net/edugain-v2.xml"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" - certificateFile="%{idp.home}/credentials/mds-v1.cer"/> + certificateFile="%{idp.home}/credentials/mds-v2.cer"/> (...略...)
変更後、以下のコマンドで設定を再読み込みします。
$ /opt/shibboleth-idp/bin/reload-service.sh -id shibboleth.MetadataResolverService
再読み込み後、エラーログ(/opt/shibboleth-idp/logs/idp-warn.log)に以下のように記録されている場合は署名検証に失敗しておりますので、metadata-providers.xmlの証明書ファイルおよびダウンロードURLが正しいかどうか確認してください。
2020-11-30 14:05:32,408 - - WARN [org.apache.xml.security.signature.XMLSignature:777] - Signature verification failed.
2020-11-30 14:05:32,409 - - ERROR [org.opensaml.saml.metadata.resolver.filter.impl.SignatureValidationFilter:419] - Signature trust establishment failed for metadata entry GakuNin-test
2020-11-30 14:05:32,410 - - ERROR [org.opensaml.saml.metadata.resolver.impl.AbstractReloadingMetadataResolver:537] - Metadata Resolver FileBackedHTTPMetadataResolver HTTPMetadata-eduGAIN: Error filtering metadata from http://edugain.cdn.samlbits.net/edugain-v2.xml
org.opensaml.saml.metadata.resolver.filter.FilterException: Signature trust establishment failed for metadata entry
at org.opensaml.saml.metadata.resolver.filter.impl.SignatureValidationFilter.verifySignature(SignatureValidationFilter.java:420)
最後に、証明書移行とは無関係ながら、現在のeduGAINメタデータを読み込むのにメモリ量設定が足りないのではないかという報告がございます。メモリに余裕がありましたらJettyのメモリ使用設定を1.5GBから2GBに増量することもご検討ください。
/opt/jetty-base/start.d/start.ini:
-Xmx1500m → -Xmx2g
以上